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Die f olgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(§) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen 

® Die voriiegende Erfindung beschreibt ein Steuerungs- 
system (10) zum Steuern von sicherheitskritischen Pro- 
zessen (28, 30). Das Steuerungssystem (10) besitzt eine 
erste Steuereinheit (14; 14, 54) zum Steuern eines sicher- 
heitskritischen Prozesses (28, 30) und zumindest eine Si- 
gnaleinheit (18, 20, 22; 18, 20, 22, 56), die iiber E/A-Kanale 
mit dem sicherheitskritischen Prozefc (28, 30) verknupft 
ist. Es besitzt feme r einen Feldbus (12), iiber den die erste 
Steuereinheit (14; 14, 56) und die Signaleinheit (18, 20, 22; 
18, 20, 22, 56) verbunden sind, sowie einen Busmaster 
(36) zum Steuern der Kommunikation auf dem Feldbus 
(12). Dabei weisen die erste Steuereinheit (14; 14, 54) und 
die Signaleinheit (18, 20, 22; 18, 20, 22, 56) sicherheitsbe- 
zogene Einrichtungen (42, 52) auf, um eine fehlersichere 
Kommunikation miteinander zu gewahrleisten. Daserfin- 
dungsgemafce Steuerungssystem (10) ist dadurch ge- 
kennzeichnet, daft der Busmaster (36) getrennt von der 
ersten Steuereinheit (14; 14, 54) und der Signaleinheit (18, 
20, 22; 18, 20, 22, 56) an den Feldbus (12) angeschlossen 
ist (Fig. 1). 
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Beschreibung 

Die vorliegende Erfindung betriffl ein Steuerungssystem zum Steuern von sicherheilskritischen Prozessen, mit einer 
ersten Steuereinheit zum Steuem eines sicherheitskritischen Prozesses und mit einer Signaleinheit, die iiber E/A-Kanale 
5 mit dem sicherheitskritischen ProzeB verknupft ist, ferner mit einem Feldbus, iiber den die erste Steuereinheit und die Si- 
gnaleinheit verbunden sind, und mit einem Busmaster zum Steuern der Kommunikation auf dem Feldbus, wobei die er- 
ste Steuereinheit und die Signaleinheit sichcrheitsbczogene Einrichtungen aufweiscn, um cine fchlersichere Kommuni- 
kation miteinander zu gewahrleisten. 

Ein derartiges Steuerungssystem ist aus der DE-A-197 42 716 bekannt. 
10 In der Steuer- und Automatisierungstechnik ist die Verwendung von Feldbussen zur Datenkommunikation zwischen 
einzelnen, an der Steuerung eines Prozesses beteiligten Einheiten bereits hinreichend bekannt. Unter einem Feldbus ver- 
steht man dabei ein System zur Datenkommunikation, an das im Idealfall beliebige Einheiten angeschlossen werden 
konnen, die iiber den gemeinsamen Feldbus miteinander kommunizieren. Die Kommunikation der Einheiten erfolgt auf 
dem Feldbus anhand von spezifizierten Protokollen. Ein derartiges Kommunikation ssy stem steht im Gegensatz zu einer 
15 individuellen Punkt-zu-Punkt-Kommunikationsverbindung zwischen jeweils zwei Einheiten, von deren Kommunikation 
miteinander andere Einheiten vollstandig abgetrennt sind. Beispiele fur bekannte Feldbusse sind der sogenannte CAN- 
Bus, der sogenannte Profibus oder der sogenannte Interbus. 

Bei vielen Feldbussen wird die Kommunikation von zumindest einem Busmaster gesteuert, der den ubrigen an den 
Feldbus angeschlossenen Einheiten, den sogenannten Busteilnehmern, ubergeordnet isL Dies hat zur Folge, daB ein Bus- 
20 teilnehmer ohne "Erlaubnis" des Busmasters keine Daten an andere Busteilnehmer senden kann. In der Regel ist der Bus- 
master ein Standardbaustein, der die fur den Feldbus spezifizierten Protokolle gewahrleisten muB und der haufig recht 
komplex und damit vergleichsweise teuer ist. 

Obwohl die Verwendung von Feldbussen zahlreiche Vorteile vor allem in Hinblick auf den ansonsten erforderlichen, 
hohen Verkabelungsaufwand besitzt, war ihre Verwendung im praktischen Einsatz zur Steuerung von sicherheitskriti- 
25 schen Prozessen bisher nicht moglich. Grund hierfur ist, daB die Feldbusse angesichts ihrer fur beliebige Einheiten frei 
zuganglichen Struktur die zur Steuerung sicherheitskritischer Prozesse erforderliche Fehlersichcrheit nicht gewahrlei- 
sten konnten. 

Unter einem sicherheitskritischen ProzeB wird vorliegend ein ProzeB verstanden, von dem bei Auftreten eines Fehlers 
eine nicht zu vernachlassigende Gefahr fur Menschen oder auch materielle Guter ausgeht. Bei einem sicherheitskriti- 

30 schen ProzeB muB daher mit im Idealfall 100%iger Sicherheit gewahrleistet sein, daB der ProzeB bei Nfcrliegen eines Feh- 
lers in einen sicheren Zustand uberfuhrt wird. Derartige sicherheitskritische Prozesse konnen auch Teilprozesse von gro- 
Beren, ubergeordneten Gesamtprozessen sein. Beispiele fur sicherheitskritische Prozesse sind chemische Verfahren, bei 
denen kritische Parameter unbedingt in einem vorgegebenen Bereich gehalten werden miissen oder auch komplexe Ma- 
schinensteuerungen, wie etwa die einer hydrauli schen Presse oder einer gesamten FertigungsstraBe. Bei einer hydrauli- 

35 schen Presse kann beispielsweise die Materialzufiihrung ein sicherheitsunkritischer TeilprozeB, das Inbetriebnehmen des 
PreBwerkzeugs demgegeniiber ein sicherheitskritischer TeilprozeB im Rahmen des Gesamtprozesses sein. Weitere Bei- 
spiele fur sicherheitskritische (Teil-)Prozesse sind die Uberwachung von Schutzgittern, Schutztiiren oder Lichtschran- 
ken, die Steuerung von 2-Hand-Schaltern oder auch die Reaktion auf Not-Aus-Schalter. 

In der eingangs genannten DE-A-197 42 716 ist eine Steuer- und Datenubertragungsanlage beschrieben, die auf einem 

40 Feldbus, insbesondere dem Interbus, basiert und der die Aufgabe zugrunde lag, auch sicherheitsbezogene Baugruppen 
integrieren zu konnen. Zur Losung dieser Aufgabe wurde vorgeschlagen, sowohl in dem Busmaster, in der genannten 
Schrift als Master-Steuereinrichtung bezeichnet, als auch in den Busteilnehmern jeweils sicherheitsbezogene Einrichtun- 
gen anzuordnen. Die sicherhcitsbezogenen Einrichtungen fuhren dann zusatzlich zur eigentlichcn Datenkommunikation 
Sicherheitsfunktionen aus, die die erforderliche Fehlersicherheit im Hinblick auf die Steuerung von sicherheitskritischen 

45 Prozessen gewahrleisten. Anschaulich gesprochen wird die erforderliche Sicherheit hierbei also vor allem dadurch er- 
reicht, daB der Busmaster durch die sicherheitsbezogenen Einrichtungen "sicher" gemacht wird. 

Eine derartige MaBnahme ist bei der Entwicklung und beim Aufbau eines fehlersicheren Steuerungssy stems jedoch 
sehr aufwendig und kostenintensiv, da hierbei der komplexe Busmaster selbst modifiziert werden muB und nicht auf 
Standardbausteine zuriickgegriffen werden kann. 

50 Daruber hinaus ist eine derartige MaBnahme auch im Betrieb eines darauf basierten Steuerungssystems nachteilig, da 
die sicherheitsrelevante Kommunikation bei der Steuerung von komplexen Prozessen in der Regel nur etwa bis zu 10% 
der gesamten Kommunikation ausmacht. Die genannte MaBnahme besitzt somit den Nachteil, daB mit hohem Aufwand 
der Busmaster "sicher" gemacht wird, obwohl dies fur 90% und mehr der von ihm gesteuerten Kommunikation gar nicht 
erforderlich ist 

55 Es ist daher Aufgabe der vorliegenden Erfindung, ein Steuerungssystem der eingangs genannten Art anzugeben, das 
eine fehlersichere Kommunikation der an einem sicherheitskritischen ProzeB beteiligten Einheiten gewahrleistet, wobei 
gleichzeitig die Verwendung von Standardbausteinen als Busmaster moglich ist. 

Diese Aufgabe wird bei dem eingangs genannten' Steuerungssystem dadurch gelost, daB der Busmaster getrennt von 
der ersten Steuereinheit und der Signaleinheit an den Feldbus angeschlossen ist. 

60 Die erste Steuereinheit ist aufgrund der sicherhcitsbezogenen Einrichtungen cine "sichere" Steuereinheit, d. h. sie ist 
in der Lage, interne und auch exteme Fehler, ggf. im Zusammenspiel mit anderen sicheren Einheiten, festzustellen und 
zu korrigieren. Anschaulich gesprochen bedeutet die genannte MaBnahme, daB die erste Steuereinheit zum Steuern si- 
cherheitskritischer Prozesse einerseits und der Busmaster andererseits in voneinander getrennten Bausteinen unterge- 
bracht und an den verwendeten Feldbus angeschlossen sind. Dabei ist es moglich, die erste Steuereinheit als einfachen 

65 Busteilnehmer, d. h. ohne eine Busmasterfunktionalitat an den Feldbus anzuschlieBen, wie nachfolgend am Beispiel des 
Interbusses erlautert wird. Die Steuerung des sicherheitskritischen Prozesses kann dann weitgehend unabhangig von der 
Steuerung sicherheitsunkritischer Prozesse und auch unabhangig von der Steuerung der Datenkommunikation auf einem 
gemeinsamen Feldbus stattfinden. 
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Die erste Steuereinheit benotigt somit zumindest grundsatzlich keine Busmaster-Funktionalitat und umgekehrt kann 
der Busmaster frei von sicherheitsbezogenen Einrichtungen an den Feldbus angeschlossen werden. Hierdurch ist die Vfer- 
wendung von herkornmlichen Standard-Busmastem moglich. Die genannte Aufgabe ist somit vollstandig gelost. 

Die erfindungsgemaBe MaBnahme besitzt zudem den \forteil, daB die erste Steuereinheit und mit ihr die sicherheitsbe- 
zogenen Einrichtungen hinsichtlich ihrer Komplexitat und Geschwindigkeit an den nur vergleichsweise geringen sicher- 5 
heitsrelevanten Datenverkehr angepaBt sein mussen. Der bei einem komplexen GesamtprozeB bis zu mehr als 90% be- 
tragende, nicht-sichcrhcitsrclevantc Datenverkehr muB nicht uber die erste Steuereinheit und auch nicht iiber die sicher- 
heitsbezogenen Einrichtungen abgewickelt werden. Die erste Steuereinheit und die sicherheitsbezogenen Einrichtungen 
konnen daher vergleichsweise einfach aufgebaut sein. 

In einer Ausgestaltung der zuvor genannten MaBnahme weist die erste Steuereinheit ein eigenstandiges Steuerpro- 10 
gramm zum Steuern des sicherheitskritischen Prozesses auf. 

Unter einem eigenstandigen Steuerprogramm wird dabei ein Steuerprogramm verstanden, das die erste Steuereinheit 
in die Lage versetzt, den sicherheitskritischen ProzeB unabhangig von anderen Steuereinheiten zu steuern. Die erste 
Steuereinheit ist somit nicht nur ein redundantes Element in Erganzung zu einer weiteren Steuereinheit, sondern sie ist in 
der Lage, den sicherheitskritischen ProzeB eigenstandig fehlersicher zu steuern. Die MaBnahme ist besonders vorteilhaft, 15 
da hierdurch eine vollstandige Trennung der sicherheitsrelevanten Teile des Steuerungssystems von den nicht-sicher- 
heitsrelevanten Teilen erreicht ist. Dies ist insbesondere im Hinblick auf die Zulassung eines Steuerungssystems durch 
verantwortliche Aufsichtsbehorden von Bedeutung, da hierdurch eine Beeinflussung des sicherheitsrelevanten Tfeils 
durch einen Eingriff im nichtsicherheitsrelevanten Tfeil vermieden ist. 

In einer weiteren Ausgestaltung ist die erste Steuereinheit geeignet, ein fehlersicheres Bustelegramm zu erzeugen, bei 20 
dessen Empfang die Signaleinheit den sicherheitskritischen ProzeB in einen sicheren Zustand iiberfuhrt. 

Wenn es sich bei dem sicherheitskritischen ProzeB beispielsweise um die Oberwachung eines Not-Aus-Schalters han- 
delt, kann ein sicherer Zustand darin bestehen, den GesamtprozeB umgehend stromlos zu schalten. Bei einer chemischen 
Produktionsanlage kann ein vollstandiges Abschalten jedoch unter Umstanden unkontrollierte Reaktionen ermoglichen, 
so daB in diesem Fall ein sicherer Zustand durch das Ansteuem vorgegebener Parameterbereiche deflniert ist. Die ge- 25 
nannte MaBnahme steht im Gegensatz dazu, das Uberfuhrcn des Prozesses in einen sicheren Zustand durch zusatzliche, 
von dem Feldbus getrennte Steuerleitungen zu realisieren. Dies wurde bisher bevorzugt, da ein fehlersicheres Bustele- 
gramm nur in Verbindung mit sicherheitsbezogenen Einrichtungen moglich ist. Die genannte MaBnahme besitzt demge- 
genuber den Vorteil, daB auf die entsprechenden zusatzlichen Steuerleitungen verzichtet werden kann, wodurch der \fer- 
kabelungsaufwand nochmals reduziert wird. 30 

In einer weiteren Ausgestaltung weisen die sicherheitsbezogenen Einrichtungen eine mehrkanalige Struktur auf. 

Mehrkanalige Struktur bedeutet hier, daB die sicherheitsbezogenen Einrichtungen zumindest zwei parallele Verarbei- 
tungskanale aufweisen, die zueinander redundant sind. Die MaBnahme besitzt den Vorteil, daB ein Fehler in einem der 
Verarbeitungskanale bspw. anhand eines Ergebnisses, das von demjenigen des oder der anderen Verarbeitungskanale ab- 
weicht, erkannt und ggf. korrigiert werden kann. Die MaBnahme tragt somit in sehr zuverlassiger Weise zur Verbesse- 35 
rung der Fehlersicherheit bei. 

Bevorzugt ist die mehrkanalige Struktur diversitar. 

Dies bedeutet, daB die einzelnen Kanale der mehrkanaligen Struktur unterschiedlich aufgebaut sind. Beispielsweise 
kann ein Kanal auf einem Mikrocontroller eines ersten Herstellers und ein anderer Kanal auf einem Mikrocontroller ei- 
nes zweiten Herstellers basieren. Dementsprechend sind in einem solchen Fall auch die Steuerprogramrne der Mikrocon- 40 
troller voneinander verschieden. Alternativ kann einer der Kanale anstelle eines Mikrocontrollers eine festverdrahtete 
Logik aufweisen. Die genannte MaBnahme besitzt den Vorteil, daB die Fehlersicherheit nochmals betrachtlich erhoht ist, 
da die Wahrschcinlichkcit fiir das gleichzeitige Auftreten von gleichen Fehlern in diversitarcn Strukturcn gcgeniiber ho- 
mogenen Strukturen nochmals wesentlich reduziert isL 

In einer weiteren Ausgestaltung der Erfindung weist das Steuerungssystem eine zweite Steuereinheit zum Steuem von 45 
sicherheitsunkritischen Prozessen auf. 

Die zweite Steuereinheit ist bevorzugt eine Standard-Steuereinheit, d. h. eine als Standardbaustein erhaltliche Steuer- 
einheit. Diese MaBnahme ist besonders vorteilhaft, wenn das Steuerungssystem zum Steuern komplexer Gesamtprozesse 
eingesetzt werden soli, da in diesem Fall samtliche sicherheitsunkritischen Teilprozesse getrennt von den sicherheitskri- 
tischen Teilprozessen gesteuert werden konnen. Zudem kann die erste Steuereinheit auf diese Weise von nicht-sicher- 50 
heitsrelevanten Aufgaben entlastet werden. Hierdurch ist es moglich, die erste Steuereinheit und dariiber hinaus das ge- 
samte Steuerungssystem besonders kostengunstig und leistungseffizient auszulegen. 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahme ist die zweite Steuereinheit getrennt von der ersten 
Steuereinheit an den Feldbus angeschlossen. 

Diese MaBnahme besitzt den Vorteil, daB die Trennung der sicherheitsrelevanten und nicht-sicherheiLsrelevanten Pro- 55 
zesse noch konsequenter vollzogen ist, was eine unbeabsichtigte Beeinflussung der sicherheitsrelevanten Steuerungen 
nochmals verringert. Zudem ist es hierdurch moglich, eine erste Steuereinheit zum Steuern sicherheitskritischer Prozesse 
in einer bereits existierenden Gesamtanlage nachzuriisten, ohne die bereits zuvor in diesem Steuerungssystem verwen- 
dete Standard-Steuereinheit auszutauschen. Dies erlaubt eine einfache und kostengunsdge Nachrustung bereits existie- 
render Stcuerungssystcrne mit sicherheitsrelevanten Komponcnten. 60 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen ist die zweite Steuereinheit frei von sicherheitsbe- 
zogenen Einrichtungen. 

Dies bedeutet, daB die zweite Steuereinheit keine sicherheitsbezogenen Einrichtungen aufweist. Die MaBnahme be- 
sitzt den Vorteil, daB auch die zweite Steuereinheit von unnotigem Ballast freigehalten ist. Hierdurch ist es moglich, fiir 
die zweite Steuereinheit kostengunstige Standardbauelemente einzusetzen. 65 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen beinhaltet die zweite Steuereinheit den Busmaster. 

Diese MaBnahme besitzt den Vorteil, daB hierdurch die Anzahl der an den verwendeten Feldbus angeschlossenen Ein- 
heiten reduziert ist. Zudem sind Steuereinheiten mit integriertem Busmaster von verschiedenen Herstellern als Standard- 
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bauelemente erhaltlich. Die genannte MaBnahme ist somit kostengiinsug und effizient realisierbar. 

In einer weiteren Ausgestaltung der Erfindung stelltderFeldbus einen umlaufenden Telegrammverkehr zwischen ein- 
zelnen an den Feldbus angeschlossenen Einheiten bereit. Vorzugsweise ist der Feldbus dabei ein Interbus. 

Feldbusse mit einem umlaufenden Telegrammverkehr sind im Stand der Technik an sich bekannt. Ein Beispiel hierfur 
5 ist der bevorzugt verwendete Lnterbus. Derartige Feldbusse sind im Prinzip wie ein Schieberegister aufgebaut, dessen 
sequentiell nacheinander angeordnete Speicherplatze die an den Feldbus angeschlossenen Einheiten sind. Unter Steue- 
rung des Busmastcrs wird ein Datenwort sequentiell von einer Einheit zur nachstcn weitergeschobcn. Aufgrund geeig- 
neter MaBnahmen, die bei verschiedenen Feldbussen unterschiedlich sein konnen, erkennt eine angeschlossene Einheit, 
daB ein weitergeschobenes Bustelegramm fur sie bestimmte Anteile enthalt. 
10 Die genannte MaBnahme besitzt den Vorteil, daB sich hierdurch auf einfache Weise sehr effiziente Steuerungssysteme 
mit einem sehr geringen Verkabelungsaufwand implemenUeren lassen. Die Verwendung eines Interbusses als Feldbus 
besitzt zudem den Vorteil, daB eine Einheit die fur sie bestimmten Bustelegramme auf besonders einfache Weise identi- 
fizieren kann. Dies ist zudem wenig fehleranfallig. 

In einer weiteren Ausgestaltung der Erfindung ist die erste Steuereinheit bezogen auf eine Umlaufrichtung des Tele- 
15 grammverkehrs vor der Signaleinheit angeordnet. 

Diese MaBnahme ist besonders vorteilhaft, da hierdurch auf einfache Weise gewahrleistet ist, daB die Signaleinheit nur 
Daten erhalt, die durch die erste Steuereinheit erzeugt worden sind. 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahme weist die erste Steuereinheit Mittel auf, um Tele- 
grammdaten, die an die Signaleinheit adressiert sind, durch fehlersichere Telegrammdaten zu ersetzen. 
20 Die genannte MaBnahme ist eine sehr einfache und damit vorteilhafte Moglichkeit, um zu gewahrleisten, daB die mit 
einem sicherheitskritischen ProzeB verbundene Signaleinheit ausschlieBlich fehlersichere Telegrammdaten erhalt. An- 
schaulich gesprochen macht man sich hierbei den sequentiell umlaufenden Telegrammverkehr dahingehend zunutze, daB 
ein Telegramm die genannte Signaleinheit nur dann erreichen kann, wenn es von der ersten Steuereinheit erzeugt worden 
ist. 

25 In einer weiteren Ausgestaltung der Erfindung weist das Steuerungssystem zumindest zwei erste Steuereinheiten zum 
Stcuern von zumindest zwei sicherheitskritischen Prozessen auf. 

Diese MaBnahme bietet die Moglichkeit, auf sehr einfache und kostengiinstige Weise sehr komplexe Gesamtprozesse 
mit verschiedenen sicherheitskritischen Teilprozessen individuell und unabhangig voneinander zu steuern. Dabei macht 
sich als besonderer Vorteil bemerkbar, daB keine der ersten Steuereinheiten eine Busmasterfunktionalitat aufweisen muB, 
30 was die Kosten des Gesamtsystems niedrig halt. 

Es versteht sich, daB die vorstehend genannten und die nachstehend noch zu erlauternden Merkmale nicht nur in der 
jeweils angegebenen Kombination, sondem auch in anderen Kombinationen oder in AHeinstellung verwendbar sind, 
ohne den Rahmen der vorliegenden Erfindung zu verlassen. 

Ausfuhrungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung 
35 naher erlautert. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Ausfuhrungsbeispiels der Erfindung, wobei als Feldbus ein Interbus zum 
Einsatz kommt, 

Fig. 2 eine schematische Darstellung eines Kommunikationsbausteins, mit dem die erste Steuereinheit in dem in Fig. 1 
gezeigten Ausfuhrungsbeispiel an den Interbus angeschlossen ist, 
40 Fig. 3 eine schematische Darstellung eines Empfangsbausteins, den die erste Steuereinheit in dem gezeigten Ausfuh- 
rungsbeispiel zusatzlich besitzt, 

Fig. 4 eine schematische Darstellung eines Bustelegramms beim Interbus und 

Fig. 5 eine schematische Darstellung, wie sicherhcitsrelevante Datenrahmcn bei dem Bustelegramm gemaB Fig. 4 
durch fehlersichere Telegrammdaten ersetzt werden. 

45 In Fig. 1 ist ein erfindungsgemaBes Steuerungssystem in seiner Gesamtheit mit der Bezugsziffer 10 bezeichnet. 

Das Steuerungssystem 10 basiert auf einem Feldbus 12, der im vorliegenden Fall ein Interbus ist. An den Feldbus 12 
sind eine erste Steuereinheit 14, eine zweite Steuereinheit 16 so wie insgesamt vier beispielhaft dargestellte Signaleinhei- 
ten 18, 20, 22 und 24 angeschlossen. Die erste Steuereinheit 14 ist eine sichere Steuereinheit, wahrend die zweite Steu- 
ereinheit 16 eine Standar-Steuereinheit ist. 

50 Mit der Bezugsziffer 26 ist ein automatisierter GesamtprozeB bezeichnet, der zwei beispielhaft dargestellte sicher- 
heitskritische Teilprozesse 28 beinhaltet. Die auBerhalb der sicherheitskritischen Teilprozesse 28 liegenden Anteile des 
Gesamtprozesses 26 sind nicht sicherheitskritisch, d. h. sie erfordern keine sicherheitsbezogenen ZusatzmaBnahmen. 
Beispielhaft handelt es sich bei dem GesamtprozeB 26 um die automatisierte Steuerung einer Presse, bei der sicherheits- 
unkritische Teilprozesse u. a. die Materialzufuhrung der zu verarbeitenden Teile (nicht dargestellt) sind. Die sicherheits- 

55 kritischen Teilprozesse 28 betrefFen hier beispiels weise die Steuerung und Uberwachung eines Zweihand-Schalters und 
eines Schutzgitters. 

Mit der Bezugsziffer 30 ist ein ProzeB bezeichnet, der insgesamt sicherheitskritisch ist, wie etwa die Uberwachung ei- 
nes Not-Aus-Schalters. 

Die Steuereinheiten 18 bis 24 sind uber E/A-Kanale (Eingabe-/Ausgabe-Kanale) 32 mit den zu steuernden Prozessen 
60 26 bis 30 vcrbunden. Die E/A-Kanale 32 stellen Eingangc und Ausgangc bereit, uber die Zustandssignale, die fur die zu 
steuernden Prozesse charakteristisch sind, eingelesen werden konnen und liber die Steuersignale zum Steuern der Pro- 
zesse ausgegeben werden konnen. In der Praxis sind an die E/A-Kanale 32 hier nicht dargestellte Sensoren bzw. Aktoren 
angeschlossen. 

Die zweite Steuereinheit 16 weist neben anderen, an sich bekannten Komponenten einen Mikrocontroller34 sowie ei- 
65 nen Master-Protokollchip 36 auf. Der Master-Protokollchip 36 besitzt im vorliegenden Fall eine Busmasterfunktionalitat 
fur einen Interbus und wird im folgenden auch als Busmaster bezeichnet. Derartige Master-Protokollchips sind als Stan- 
dardbauelemente von verschiedenen HersteUern erhaltlich. 

Die erste Steuereinheit 14 ist uber einen Kommunikationsbaustein 38, dessen Aufbau anhand Fig. 2 nachfolgend na- 
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her beschrieben wird, als Busteilnehmer an den Feldbus 12 angeschlossen. Dariiber hinaus besitzt die erste Steuereinheit 
14 im vorliegenden Fall noch einen Empfangsbaustein 40, der am zuriicklaufenden Signalpfad des Feldbusses 12 ange- 
schlossen ist 

Die erste Steuereinheit 14 besitzt des weiteren eine sicherheitsbezogene Einrichtung 42, die im vorliegenden Fall ein 
mehrkanaliges, diversitares MikrocontroUersystem beinhaltet. Das mehrkanalige Mi krocon trollers y s tern ist hier anhand 5 
von zwei redundanten Mikrocontrollern 44 angedeutet, die von verschiedenen Herstellern stammen und daher eine un- 
terschiedliche Prograrnmierung erfordern. Die sicherheitsbezogene Einrichtung 42 implementiert Fchlerbcherrschungs- 
maBnahmen, die in Verbindung mit den nachfolgend beschriebenen sicherheitsbezogenen Einrichtungen in den Signal- 
einheiten 18 bis 22 eine fehlersichere Datenkommunikation ermoglichen. Mogliche FehlerbeherrschungsmaBnahmen 
sind beispielsweise in einem Artikel mit dem Titel "Bus-Software mit Feuermelder", erschienen in der Zeitschrift "iee M , to 
43. Jahrgang, 1998, Nr. 8, Seiten 46-48 beschrieben. 

Ferner besitzt die erste Steuereinheit 14 einen Speicher 46, in dem ein Steuerprogramm 48 abgelegt ist. Das Steuer- 
programm 48 ist insofern eigenstandig, als daB die erste Steuereinheit 14 damit in der Lage ist, den sicherheitskritischen 
ProzeB 30 sowie die sicherheitskritischen Teilprozesse 28 unabhangig von der zweiten Steuereinheit 16 (mit Ausnahme 
der durch den Busmaster 36 gesteuerten Kommunikation auf dem Feldbus 12) zu steuem. 15 

Die Signaleinheiten 18 bis 24 sind jeweils uber einen Slave-Protollchip 50 als Busteilnehmer an den Feldbus 12 ange- 
schlossen. Der Slave-Protokollchip 50 ist ebenfalls ein Standardbauelement, das von verschiedenen Herstellern erhalt- 
lich ist. Zudem weisen die Signaleinheiten 18, 20 und 22 jeweils sicherheitsbezogene Einrichtungen 52 auf, die wie- 
derum ein zweikanaliges Mikrocontrollersystem 44 beinhalten. Die Signaleinheiten 18 und 20 sind dabei beispielhaft so 
dargestellt, daB samtliche uber sie laufenden Signale unter Zuhilfenahme der sicherheitsbezogenen Einrichtungen 52 ab- 20 
gewickelt werden. Die Signaleinheiten 18 und 20 sind somit insgesamt "sichere" Signaleinheiten. Die Signaleinheit 22 
ist nur zum Teil eine "sichere 1 ' Signaleinheit, d. h. nur ein Teil der hieruber abgewickelten Signale unterliegt einer Steue- 
rung und Kontrolle durch die sicherheitsbezogenen Einrichtungen 52. Die Signaleinheit 24 besitzt demgegeniiber keine 
sicherheitsbezogenen Einrichtungen und ist von daher eine "nicht-sichere" Standard-Signaleinheit. 

Die Signaleinheit 18 ist mit dem sicherheitskritischen ProzeB 30 und die Signaleinheit 20 mit einem der sicherheits- 25 
kritischen Teilprozesse 28 verbundcn. Diese genannten Prozcsse werden ausschlieBlich und eigenstandig von der ersten 
Steuereinheit 14 gesteuert. Die Signaleinheit 22 ist mit ihrem sicheren Anteil mit dem zweiten sicherheitskritischen Teil- 
prozeB 28 verbunden, wahrend sie mit ihrem nicht-sicheren Anteil ein Steuersignal fur den im iibrigen sicherheitsunkri- 
tischen GesamtprozeB 26 erzeugt. Die Signaleinheit 22 wird dementsprechend in ihrem sicheren Teil durch die erste 
Steuereinheit 14 und in ihrem nicht-sicheren Teil durch die zweite Steuereinheit 16 gesteuert. Hierdurch ist es somit 30 
moglich, eine sichere und eine nicht-sichere Signaleinheit unter ein und derselben Busadresse anzusprechen. 

Die Signaleinheit 24 ist ausschlieBlich mit sicherheitsunkritischen Anteilen des Gesamtprozesses 26 verbunden und 
wird ausschlieBlich von der zweiten Steuereinheit 16 angesprochen. 

Abweichend von dieser Ausfuhrung ist es grundsatzlich jedoch moglich, auch die Standard-Signaleinheit 24 uber die 
erste Steuereinheit 14 anzusteuem, wobei jedoch in diesem Fall keine vollstandig fehlersichere Kommunikation gewahr- 35 
leistet ist. 

Mit der Bezugsziffer 54 ist eine weitere sichere Steuereinheit bezeichnet, die in ihrem Aufbau und ihrer Funktion der 
ersten Steuereinheit 14 enLspricht. Mit der Bezugsziffer 56 ist eine weitere sichere Signaleinheit bezeichnet. Die weitere 
erste Steuereinheit 54 sowie die sichere Signaleinheit 56 konnen zusatzlich zu den zuvor beschriebenen Einheiten an 
dem Feldbus 12 angeschlossen sein, was durch eine unterbrochene Linie dargestellt ist. Fur die nachfolgende Erlaute- 40 
rung der Funktionsweise des erfindungsgemaBen Steuerungssy stems 10 wird jedoch der Einfachheit halber angenom- 
men, daB die weitere sichere Steuereinheit 54 sowie die sichere Signaleinheit 56 nicht am Feldbus 12 angeschlossen sind. 

Der in der ersten Steuereinheit 14 enthaltene und in Fig, 2 naher dargestellte Kommunikationsbaustein 38 besitzt einen 
Slave-Protokollchip 58, der uber einen ersten BusanschluB 60 eingangsseitig und iiber einen zweiten BusanschluB 62 
ausgangsseitig mit dem Feldbus 12 verbunden ist. Der Protokollchip 58 entspricht den in den Signaleinheiten 18 bis 24 45 
enthaltenen Protokollchips 50 und wird im Fall des hier angenommenen Interbusses haufig als "Serielles Mikroprozessor 
Interface" (SUPI) bezeichnet. 

Der Protokollchip 58 besitzt dariiber hinaus weitere Ein- und Ausgange, von denen hier beispielhaft ein Eingang Fro- 
mExR (From External Receiver), zwei Eingange ToExRl bzw. ToExR2 (To External Receiver) sowie ein Taktausgang 
CLKxR angedeutet sind. Am Ausgang ToExRl ist eine Signalleitung 64 und am Eingang FromExR ist eine Signallei- 50 
tung 66 angeschlossen. Die Signalleitung 64 verbindet den Protokollchip 58 mit einem Empfangsspeicher 68. Dariiber 
hinaus besitzt der Kommunikationsbaustein 38 auch einen Sendespeicher 70. Die Signalleitung 66 verbindet den Ein- 
gang FromExR des Protokollchips 58 uber ein als Schalter 72 dargestelltes Mittel wahlweise mit dem Ausgang ToExRl 
bzw. mit dem Sendespeicher 70. Die Funktionsweise des Kommunikationsbausteins 38 ist nun wie folgt: 
Der Protokollbaustein 58 empfangt an seinern BusanschluB 60 ein vom Busmaster 36 auf den Feldbus 12 gelegtes Bus- 55 
telegramm. Die darin enthaltenen Daten werden dann am Ausgang ToExRl bereitgestellt und iiber die Signalleitung 64 
dem Empfangsspeicher 68 zugefuhrt. Wenn sich der Schalter 72 in einer derartigen Position befindet, daB die Signallei- 
tung 66 mit dem Ausgang ToExRl verbunden ist, werden die aufgenommenen Telegrammdaten gleichzeitig dem Ein- 
gang FromExR zugefuhrt und sodann vom Protokollchip 58 iiber den BusanschluB 62 an einen nachfolgenden Busteil- 
nehmer, hier die sichere Signaleinheit 18, ubertragen. In diesem Fall werden die im Bustclcgramm enthaltenen Daten ei- 60 
nerseits in den Empfangsspeicher 68 geladen und andererseits unverandert durch den Protokollchip 58 hindurchge- 
schleust. Im Unterschied dazu werden in dem Fall, daB der Schalter 72 den Eingang FromExR mit dem Sendespeicher 70 
verbindet, vom Protokollchip 58 Telegrammdaten an eine nachfolgende Einheit ubertragen, die dem Sendespeicher 70 
entnommen sind. Durch Umschalten des Schalters 72 ist es somit moglich, die in einem Bustelegramm enthaltenen Da- 
ten wahlweise und gezielt durch solche aus dem Sendespeicher 70 zu ersetzen. Dies kann gezielt bis auf die Bitebene er- 65 
folgen. 

Der in Fig. 3 dargestellte Empfangsbaustein 40 der ersten Steuereinheit 14 basiert auf dem gleichen Slave-Protokoll- 
chip (SUPI) wie der Kommunikationsbaustein 38. Zur Unterscheidung ist der Protokollchip in diesem Fall mit der Be- 
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zugsziffer 74 bezeichnet. Als Empfangsbaustein ist der Protokollchip 74 iiber seinen Ausgang ToExRl allein mit einem 
Empfangsspeicher 76 verbunden. 

Uber den Kommunikationsbaustein 38 ist die erste Steuereinheit 14 somit in der Lage, vom Busm aster 36 iiber den 
Feldbus 12 ubertragene Bustelegramnie aufzunehmen und wahlweise gezielt modifiziert an die nachfolgenden Signal- 
5 einheiten 18 bis 24 weiterzugeben. Ober den Empfangsbaustein 40 ist die erste Steuereinheit 14 dariiber hinaus in der 
Lage, die von den Signaleinheiten 18 bis 24 zuriickgesendeten Bustelegramnie zu empfangen und mitzuprotokollieren. 

Die erste Steuereinheit 14 ist somit in der Lage, auch ohne cine Busmasterfunktionalitat mit den Signaleinheiten 18 bis 
24 uber den Feldbus 12 zu kommunizieren. Uber die sicherheitsbezogenen Einrichtungen 42, 52 kann dadurch eine feh- 
lersichere, von der zweiten Steuereinheit 16 unabhangige Datenkommunikation und Steuerung erreicht werden. 

10 In Fig. 4 ist ein schematisch dargestelltes Bustelegramm, wie es beim Interbus verwendet wird, in seiner Gesamtheit 
mit der Bezugsziffer 78 bezeichnet. Das Bustelegramm 78 besitzt einen exakt definierten Aufbau, der sich in einzelne 
Abschnitte unterteilt. Jedes Bustelegramm beginnt mit einem Startwort, das iiblicherweise als Loop Back Word (LBW) 
bezeichnet wird. An dieses Startwort schlieBen sich einzelne Datenrahmen 80 an, in denen Nutzdaten, wie Steuerbefehle 
oder MeBsignalwerte, transportiert werden konnen. 

15 Beim Interbus erzeugt der Busmaster 36, wie bereits erwahnt, ein Bustelegramm 78 und ubertragt dieses seriell an den 
ihm nachgeschalteten Kommunikationsbaustein 38. Dieser empfangt das Bustelegramm 78 und legt die fur die erste 
Steuereinheit 14 relevanten Daten aus den Datenrahmen 80 im Empfangsspeicher 68 ab. Gleichzeitig ubertragt er das 
Bustelegramm 78 an den ihm nachgeordneten Protokollchip 50 der Signaleinheit 18, wobei er wahlweise in dem Daten- 
rahmen enthaltene Daten durch solche aus dem Sendespeicher 70 ersetzen kann. Vom Protokollchip 50 der Signaleinheit 

20 18 wird das Bustelegramm 78 sodann zur Signaleinheit 20 und von dieser zur Signaleinheit 22 und 24 weitergeleitet. Am 
Ende der Signalkette schickt die zuletzt angeschlossene Signaleinheit 24 das Bustelegramm 78 wieder zuriick zum Bus- 
master 36, wobei das Bustelegramm 78 wiederum samtliche Protokollchips 50 sowie den Kommunikationsbaustein 38 
durchlauft. Sobald der Busmaster 36 das Startwort LBW empfangt, ist dies ein Signal, daB das Bustelegramm 78 im 
Feldbus 12 einmal sequentiell umgelaufen ist. 

25 Die erste Steuereinheit 14 kann aufgrund des zuvor beschriebenen Datenverkehrs und aufgrund der in Fig. 2 darge- 
stellten Anordnung des Kommunikationsbaustcins 38 mit jeder Signaleinheit 18 bis 24 kommunizieren, sofern ihr die 
Struktur des Netzwerks bekannt ist. Dies bedeutet, daB die erste Steuereinheit 14 vor allem wissen muB, an welcher S telle 
des Feldbusses 12 eine von ihr angesprochene Signaleinheit 18 bis 24 angeordnet ist Bei dem in Fig. 1 dargestellten 
Steuerungssystem 10 befinden sich die Signaleinheiten 18, 20, 22, an den Platzen 2, 3 und 4, wenn man die am Feldbus 

30 12 angeschlossenen Einheiten beginnend beim Busmaster 36 von Null an durchzahit. Um beispielsweise Steuerdaten an 
die Signaleinheit 20 zu iibertragen, muB die erste Steuereinheit 14 dementsprechend die Steuerdaten in dem mit D3 be- 
zeichneten Datenrahmen 80 ablegen. Dies ist in Fig. 5 anhand des Datenrahmens 82 mit modifizierten Daten D3* ange- 
deutet. Die urspriinglich in diesem Datenrahmen enthaltenen Daten D3 werden dabei iiberschrieben. 

Da sowohl die erste Steuereinheit 14 als auch die Signaleinheit 20 sicherheitsbezogene Einrichtungen 42, 52 aufwei- 

35 sen, ist es moglich, eine fehlersichere Datenkommunikation zwischen ihnen aufzubauen, ohne daB eine dieser Einheiten 
eine Busmasterfunktionalitat besitzen muB. Gleiches gilt fur die Kommunikation der ersten Steuereinheit 14 mit den Si- 
gnaleinheiten 18 und 22, wobei es bei der Kommunikation mit der Signaleinheit 22 in der Regel geniigt, die mit D4 be- 
zeichneten Daten nur teilweise durch modifizierte Daten D4** zu ersetzen. Die Fur den nicht-sicheren Standardteil der 
Signaleinheit 22 bestimmten Daten werden durch die erste Steuereinheit 14 nicht verandert. 

40 Nachfolgend ist eine Tabelle dargestellt, anhand der sich die Kommunikation iiber den Feldbus 12 nochmals nachvoll- 
ziehen laBt: 
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In jeder Zeile der Tabelle sind die Daten an den Ein- und Ausgangsschieberegistern der einzelnen an den Feldbus 12 
angeschlossenen Einheiten nach jeweils einem vollstandigen Schiebeschritt angegeben. Dabei bedeuten: 35 
EDx: Eingangsdaten im Datenrahmen Dx 
ADx: Ausgangsdaten im Datenrahmen Dx 

E*Dx: Modifizerte (sichere) Eingangsdaten im Datenrahmen Dx und 
A*Dx: Modifizierte (sichere) Ausgangsdaten im Datenrahmen Dx. 

Im Datenrahmen D4 werden nur die fiir den sicheren Anteil der Signaleinheit 22 bestimmten Daten von der ersten 40 
Steuereinheit 14 modifiziert Die fur den nicht-sicheren Standardteil der Signaleinheit 22 bestimmten Daten bleiben un- 
verandert, so daB dieser Teil der Signaleinheit 22 von der zweiten Steuereinheit 16 angesprochen wird. 

Unabhangig von dem hicr vorliegcnd beschricbencn Steuerungssystem zum Steuern von sicherheitskritischen auto- 
matisierten Prozessen kann eine derartige Modifikation von Daten in einzelnen Datenrahmen 80, 82 bei einem Feldbus 
12 mil sequentiell umlaufenden Telegrammverkehr auch generell dazu verwendet werden, eine Slave- to- Slave-Kommu- 45 
nikation zwischen Busteilnehmern bereitzustellen, von denen keinereineBusmasterfunktionalitat besitzt. Nforaussetzung 
ist hierzu allein, daB der Protokollchip 58 eines Busteilnehmers, der Daten an andere Busteilnehmer versenden will, in 
der in Fig. 2 dargestellten Art und Weise um einen Sendespeicher 70 und gegebenenfalls einen Empfangsspeicher 68 er- 
ganzt wird. AuBerdem benotigt der zum Senden berechtigte Busteilnehmer eine Information dariiber, an welcher S telle 
im Feldbus 12 sein Adressat angeordnet ist, um dementsprechend den richtigen Datenrahmen 80 zu modifizieren. 50 

Auf diese Weise ist es grundsatzlich auch moglich, mehrere Standard-Steuereinheiten, die mit einem Kommunikati- 
onsbaustein 38, 40 versehen sind, in das Feldbussystem einzubringen, um dadurch die Steuerungsaufgabe fiir nicht-si- 
cherheitskritische Anwendungen auf mehrere Standard-Steuereinheiten zu verteilen. 



Patentanspriiche 55 

1. Steuerungssystem zum Steuern von sicherheitskritischen Prozessen (28, 30), mit einer ersten Steuereinheit (14; 
14, 54) zum Steuern eines sicherheitskritischen Prozesses (28, 30), mit einer Signaleinheit (18, 20, 22, 24; 18, 20, 
22, 24, 56), die iiber E/A-Kanale (32) mit dem sicherheitskritischen ProzeB (28, 30) verknupft ist, ferner mit einem 
Feldbus (12), iiber den die erste Steuereinheit (14; 14, 54) und die Signaleinheit (18, 20, 22, 24; 18, 20, 22, 24, 56) 60 
verbunden sind, und mit einem Busmaster (36) zum Steuem der Kommunikation auf dem Feldbus (12), wobei die 
erste Steuereinheit (14; 14, 54) und die Signaleinheit (18, 20, 22, 24; 18, 20, 22, 24, 56) sicherheitsbezogene Ein- 
richtungen (42, 52) aufweisen, um eine fehlersichere Kommunikation miteinander zu gewahrleisten, dadurch ge- 
kennzeichnet, daB der Busmaster (36) getrennt von der ersten Steuereinheit (14; 14, 54) und der Signaleinheit (18, 

20, 22, 24; 18, 20, 22, 24, 56) an den Feldbus (12) angeschlossen ist. ~ 65 

2. Steuerungssystem nach Anspruch 1, dadurch gekennzeichnet, daB die erste Steuereinheit (14; 14, 54) ein eigen- 
standiges Steuerprogramm (48) zum Steuern des sicherheitskritischen Prozesses (28, 30) aufweist 

3. Steuerungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB die erste Steuereinheit (14; 14, 54) ge- 
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eignet ist, ein fehlersicheres Bustelegramm (78) zu erzeugen, bei dessen Empfang die Signaleinheit (18, 20, 22; 18, 
20, 22, 56) den sicherheitskritischen ProzeB (28, 30) in einen sicheren Zustand Uberfuhrt. 

4. Steuerungssystem nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, daB die sicherheitsbezogenen 
Einrichtungen (42, 52) eine mehrkanalige Struktur (44) aufweisen. 

5. Steuerungssystem nach Anspruch 4, dadurch gekennzeichnet, daB die mehrkanalige Struktur (44) diversitar ist 

6. Steuerungssystem nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, daB es femer eine zweite Steuer- 
cinhcit (16) zum Stcuem von sichcrhcitsunkritischcn Prozesscn (26) aufweist. 

7. Steuerungssystem nach Anspruch 6, dadurch gekennzeichnet, daB die zweite Steuereinheit (16) getrennt von der 
ersten Steuereinheit (14; 14, 54) an den Feldbus (12) angeschlossen ist. 

8. Steuerungssystem nach Anspruch 6 oder 7, dadurch gekennzeichnet, daB die zweite Steuereinheit (16) frei von 
sicherheitsbezogenen Einrichtungen (42, 52) ist. 

9. Steuerungssystem nach einem der Anspruche 6 bis 8, dadurch gekennzeichnet, daB die zweite Steuereinheit (16) 
den Busmaster (36) beinhaltet 

10. Steuerungssystem nach einem der Anspruche 1 bis 9, dadurch gekennzeichnet, daB der Feldbus (12) einen um- 
laufenden Telegrammverkehr zwischen einzelnen an den Feldbus (12) angeschlossen en Einheiten (14-24) bereit- 
stellt. 

11. Steuerungssystem nach Anspruch 10, dadurch gekennzeichnet, daB der Feldbus (12) ein Interbus ist. 

12. Steuerungssystem nach Anspruch 10 oder 11, dadurch gekennzeichnet, daB die erste Steuereinheit (14; 14, 54) 
bezogen auf eine Umlaufrichtung des Telegrammverkehrs vor der Signaleinheit (18, 20, 22, 24; 18, 20, 22, 24, 56) 
angeordnet ist 

13. Steuerungssystem nach Anspruch 12, dadurch gekennzeichnet, daB die erste Steuereinheit (14; 14, 54) Mittel 
(70, 72) aufweist, um Telegrammdaten (80), die an die Signaleinheit (18, 20, 22, 24; 18, 20, 22, 24, 56) adressiert 
sind, durch fehlersichere Telegrammdaten (82) zu ersetzen. 

14. Steuerungssystem nach einem der Anspruche 1 bis 13, dadurch gekennzeichnet, daB es zumindest zwei erste 
Steuereinheiten (14, 54) zum Steuem von zumindest zwei sicherheitskritischen Prozessen (28, 30) aufweist. 
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